Jump to content
Mycroft2K

1 Öffentliche IP mehrere interne Server mit SSL

Recommended Posts

Aktuell hab ich noch ein 26er Subnet von A1 (62 Öffentliche IP Adressen auf einen langsamen 4Mbits SDSL Anschluss)
Jetzt hätten wir die Möglichkeit auf einen Glasfaseranschluss(leider nicht von A1) hier ist nur der kleine Tarif mit einer fixen öffentlichen IP
leistbar (159 Euro) 2 IPs und mehr kosten dann sage und schreibe 1000 Euro aufwärts pro Monat.

 

Mit SNI Kann ich unter Apache mehrere SSL Hostnames auf einer IP laufen lassen das funktioniert auch aber wie könnte ich das mit meinen
Exchange und Smarthome Server machen. 

 

hab auf den Apache das ganze so mal probiert das hat leider nicht funktioniert.

 

<VirtualHost 10.10.6.250:443>
	ServerName smarthome.domain.at
	SSLProxyEngine On
	ProxyRequests Off
	ProxyPreserveHost on
	<Proxy *>
		AddDefaultCharset off
		Order deny,allow
		Allow from all
		SSLRequireSSL
	</Proxy>
	ProxyPass / http://192.168.1.1:443/
	ProxyPassReverse / http://192.168.1.1:443/
</VirtualHost>

 

netz.PNG.bc271ff76bb4476d23f9d207273702aa.PNG

 

oder ist es nach wie vor so wenn man mehrere Server hat mit SSL zwingend für jeden eine Öffentliche IP braucht.

 

Share this post


Link to post
Share on other sites

Du braucht  auf jeden Fall einen Reverse-Proxy. Wenn der Tunnel dort endet, müssen hier alle öffentlichen Zertifikate drauf. Intern leitet man dann entweder per HTTP weiter oder mit einem anderen (internen) Zertifikat per SSL.

Das geht. Z.B. auch mit dem IIS. Ich meine, diese Anleitung ist ein Einstieg. ab IIS8  kann auch SNI verwendet werden.

Mit Apache kenne ich nicht wirklich aus. URLRewrite habe ich neulich mal bei einem internen Server benutzt, um dem SSL beizubringen.

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb Mycroft2K:

heißt ich muss zwingend die SSL Zertifikate am Proxy installieren gibt es keine Möglichkeit das die durchgereicht werden

Bei IIS und Apache müssen die Zertifikate installiert werden. Bei Nginx geht es auch ohne, siehe http://blog.le-vert.net/?p=224. Es gibt auch ein simpleres Tool dafür: https://github.com/inconshreveable/slt.

 

Würde ich aber nicht empfehlen. Du hättest dann in den Logs vom Proxy keine vernünftigen Einträge. Und die Zertifikate auf dem Proxy zu installieren macht deren Erneuerung einfacher.

 

Deine Beispielkonfiguration vom Apache sieht gut aus, es fehlt nur das Zertifikat und "ProxyRequests" ist auf "Off".

 

Ich setze jeweils noch folgende Optionen:

RequestHeader set X-Forwarded-Port "443"
RequestHeader set X-Forwarded-Proto "https"
RequestHeader set Ssl-Offloaded "1"

Damit wissen die Anwendungen, dass die Anfragen über SSL kommen, auch wenn es auf dem Proxy terminiert ist. Ohne diese Einstellungen kann es Redirect-Loops geben, wenn die Anwendungen HTTPS erfordern.

Share this post


Link to post
Share on other sites

@mwiederkehr thx für die info mit Nginx werde ich mir genauer ansehen für mich wäre es schöner wenn nur am Server direkt die Zertifikate installiert werden
müssen sonst hab ich doppelte arbeit einmal Server und dann noch Proxy da intern im netz das ganze ohne Proxy laufen lassen möchte.

fein Remote Desktop funktioniert auch über den apache proxy 

 

hab jetzt  Apache file so und ich kann jetzt tatsächlich drauf zugreifen

<VirtualHost 10.10.6.250:443>
	ServerName smarthome.domain.at
	SSLEngine On
	SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2	
	SSLCertificateFile /etc/myssl/smarthome.domain.at/smarthome.domain.at.crt
	SSLCertificateKeyFile /etc/myssl/smarthome.domain.at/sslkey.key
	SSLCertificateChainFile /etc/myssl/smarthome.domain.at/Geotrust.crt
	SSLCACertificateFile /etc/myssl/smarthome.domain.at/1_root_bundle.crt
	SSLProxyEngine On
	ProxyRequests On
	ProxyPreserveHost On
	ProxyPass / https://192.168.1.1:443/
	ProxyPassReverse / https://192.168.1.1:443/
</VirtualHost>

 

Share this post


Link to post
Share on other sites

@Dukel Da der Proxy/Firewall/Exchange virtualisiert ist wäre hier ja doppelter Traffic (für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt)
somit hätte ich doppelte arbeit zum warten der Zertifikate läuft bis jetzt im TEST mit Nginx gut 

würde dann bei mir so aussehen Lan-->Firewall -->Proxy--> Firewall-->Exchange
Ohne den Proxy gehts dann so Lan-->Firewall-->Exchange

 

@mwiederkehr hab auch slt getestet funktioniert auch würde dann aber zusätzlich noch Apache brauchen für den normalen Traffic Nginx war ein sehr guter TIPP
einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung?

 

muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports  25,80,110,443 eingehend ist ja ein Witz 

 

Share this post


Link to post
Share on other sites
vor 8 Stunden schrieb Mycroft2K:

für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt

Mit der Option "SSL-Bridging" sollte es auch über HTTP gehen.

 

vor 8 Stunden schrieb Mycroft2K:

einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung?

Wenn Du SSL auf dem Nginx terminierst, kann dieser den "X-Forwarded-For"-Header setzen und dort die IP des Clients eintragen. Viele Webanwendungen verstehen das bzw. lassen sich konfigurieren, diese IP in die Logs zu schreiben.

 

Eine andere Lösung wäre "Direct Server Return". Dabei setzt der Proxy bei weitergeleiteten Anfragen die Absender-IP auf die Client-IP. In den Logs erscheint dann die richtige IP und die Antworten gehen direkt raus. Das geht beim Nginx soweit ich gesehen habe nur mit der kostenpflichtigen Version. Wenn Du Dich auf diesem Level bewegst, würde ich mir eine kommerzielle Lösung wie Citrix NetScaler oder KEMP LoadMaster ansehen.

 

vor 9 Stunden schrieb Mycroft2K:

muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports  25,80,110,443 eingehend ist ja ein Witz

Was? :neutral2: Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon.

Share this post


Link to post
Share on other sites
vor 7 Stunden schrieb mwiederkehr:

Was? :neutral2: Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon.

Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten.
alle die auf xDSL und co anbieten geht eben nicht mehr Bandbreite SDSL auf 2DA 4Mbits hier wäre noch ein Upgrade auf 8Mbits durch einen 4DA Anschluss möglich.

 

 

Share this post


Link to post
Share on other sites
vor 26 Minuten schrieb Mycroft2K:

Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten.

Mein Beileid. Kommt ganz auf den Anbieter an. Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat.

 

Dann bleibt wohl nur ein vServer als externer Proxy. Entweder per VPN angebunden, oder Du verwendest auf dem lokalen Proxy höhere Ports. Dann sollte ein einfacher vServer mit ein paar iptables-Regeln genügen. (Oder natürlich Du lagerst alle extern erreichbaren Server aus...)

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb mwiederkehr:

Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat.

wohl ein Schweizer oder ;-) was würdest als VPN empfehlen OpenVPN oder was anderes?

 

vor 12 Minuten schrieb Nobbyaushb:

Als Alternative irgendwo ´ne Root-Kiste mieten und nach Hause routen?

glaub dafür reicht ein vServer auch hab bei strato jetzt mal einen bestellt zum testen 6 Euro im Monat

Share this post


Link to post
Share on other sites
vor 27 Minuten schrieb Mycroft2K:

wohl ein Schweizer oder

Ja. Dafür ist bei uns bekanntlich alles anderer teurer. :-)

vor 27 Minuten schrieb Mycroft2K:

was würdest als VPN empfehlen OpenVPN oder was anderes?

IPsec wäre auch eine Option, je nach verwendeter Firewall.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...